اطلاعات تو از من، استفاده من از تو
بسیاری از اپلیکیشنهای اندرویدی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی یا نداشتن آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران میکنند. ولی سؤالی که باید از کاربران پرسیده شود این است که آیا شما تابهحال مجوزهای درخواستی اپلیکیشن های اندرویدی را قبل از نصب مطالعه کردهاید؟
تعداد افرادی که این مجوزها را مطالعه میکنند انگشتشمار هستند و بیشتر افراد برخوردی عادی و بیتفاوت به این مجوزها دارند. به همین دلیل توسعهدهندگان اپلیکیشنها با توجه به نبود آگاهی و نیز بیتوجهی بیشتر کاربران، مجوزهایی را از کاربران میخواهند که راه را برای نفوذ به دستگاههای اندرویدی باز میکند. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) با ارائه گزارشی درخصوص آگاهسازی کاربران، نسبت به اپلیکیشنهایی که درخواست ورود به اطلاعات موجود در گوشی کاربر را دارند، هشدار داد.
یک اعلام عمومی برای دسترسی به تمام اطلاعات گوشی
مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاعرسانی را به کاربران اعلام میدارند. هنگامیکه یک برنامه کاربردی را از Play Store دریافت و نصب میکنیم یک پنجره پاپ آپ ظاهر میشود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش میگذارد که این مجوزها میتوانند دسترسی به حافظه گوشی موردنظر، تماسهای تلفنی، ارتباطات شبکه و غیره را داشته باشند. شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب سادهترین کاری باشد که یک کاربر میتواند انجام دهد اما نکته مهم این است که تا چه اندازه میتوان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام داراییهای شخص در دست توسعهدهنده اپلیکیشن را درک کرد.
درخواست ۱۲۷ مجوز ورود فقط توسط یک اپلیکیشن
به گزارش صبح نو مستندسازی مجوزها آنهم با وجود تنوع زیاد مجوزها و نیازمندیهای متفاوت برنامههای کاربردی از کاربران بسیار سخت است. مرکز ماهر با ارائه گزارشی، مجوزهای برنامههای موجود در فروشگاه گوگل پلی (Google Play ) را با تمرکز ویژه روی مجوزهایی که بهصورت بالقوه به برنامه کاربردی این اجازه را میدهند تا اطلاعات شخصی کاربر را جمعآوری یا به اشتراک بگذارند، بررسی کرده است.
درمجموع با بررسی یک میلیون و ۴۱ هزار و ۳۳۶ برنامه کاربردی و اپلیکیشن در این آزمایش عنوان شد که تنها ۲۳۵ مجوز انحصاری و خاص وجود داشته است. بیشتر برنامههای کاربردی مجوزهای زیادی را طلب میکنند و بیشترین تعداد مجوزهای درخواستی از برنامههای کاربردی این آزمون تعداد ۱۲۷ مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است.
برنامههای کاربردی دیگری هم هستند که تعداد انگشتشماری مجوز درخواست میکنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها ۵ مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که ۱۰۰ هزار برنامه نیز مجوزی را درخواست نکردهاند.
بیشترین مجوزهای برنامههای کاربردی در فروشگاه Google Play
برمبنای بررسیهای به عمل آمده، ۸۳ درصد از اپلیکیشن های اندروید در زمان نصب خواستار دسترسی کامل به شبکه(Full network access)، ۶۹ درصد خواستار مشاهده ارتباطات شبکه(View network connections) ، ۵۴ درصد خواستار دسترسی به حافظه حفاظتشده(Test access to protected storage) ، ۲۷ درصد خواستار مجوز برای جلوگیری از به خواب رفتن گوشی (Prevent device from sleeping) و ۲۱ درصد خواستار کنترل لرزاننده (Control vibration) هستند که به نوعی مجوز سختافزاری محسوب میشود.
این درحالی است که ۵۴ درصد از اپلیکیشن های اندرویدی خواستار تنظیم یا حذف محتوای موجود روی حافظه، ۳۵ درصد خواستار خواندن وضعیت تلفن و هویت (Read phone status and identity) و دسترسی به ویژگیهای تلفن، ۲۴ درصد خواستار مشاهده موقعیت مکانی دقیق(مبتنی بر GPS و شبکه) و ۲۳ درصد نیز خواستار مشاهده ارتباطات بیسیم Wi-Fi و ۲۱ درصد خواستار دریافت مجوز برای موقعیت تقریبی(مبتنی بر شبکه) هستند که به نوعی مجوز دریافت اطلاعات کاربر محسوب میشود.
اپلیکیشنهایی که به تمامی اطلاعات کاربر دسترسی دارند
از مجموع ۲۳۵ مجوز که در این گزارش تحلیلی شناسایی شدهاند تنها ۱۰ مجوز توسط ۲۰درصد برنامههای کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامههای کاربردی درخواست شدهاند. اگر بخواهیم بهصورت آماری نگاه کنیم تعداد ۱۰۰۰ برنامه از مجموع یک میلیون و ۴۱ هزار و ۳۳۶ برنامه که ۹ صدم درصد از تعداد کل برنامههای کاربردی مورد تحلیل را شامل میشوند، مقدار ۱۴۷ مجوز از مجموع ۲۳۵ مجوز را درخواست کردهاند که با توجه به کل برنامههای مورد ارزیابی، مقدار زیادی از مجوزها را پوشش میدهند.
البته باید این نکته را نیز اضافه کرد که مجموع مجوزهای درخواستی از یک برنامه کاربردی بهصراحت نمیتواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی بهتمامی اطلاعات کاربر را میتواند داشته باشد درحالیکه یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سختافزاری دستگاه موردنظر را خواهد داشت!
درخواست مجوزهایی که شایعترند
تحلیل ذکرشده به بررسی عمیقتر روی اپلیکیشن بهویژه نوع مجوزهای درخواستی آنها در فروشگاه Google Play میپردازد. بهطور ویژه مجوزهایی که نسبت به سایر مجوزها شایعتر هستند به دو دسته تقسیم میشوند که شامل مجوزهایی که به برنامه کاربردی این اجازه را میدهند تا به اطلاعات کاربر دسترسی داشته باشند و مجوزهایی که به برنامه کاربردی اجازه میدهند تا بهصورت مستقیم با دستگاه تعامل داشته باشند، میشود.
مرکز ماهر تاکید کرده است که تعریف «اطلاعات کاربر» یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت اطلاعات کاربر صادر میشوند، فرض شدهاند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سختافزار دستگاه نیز الزاماً بخش مشخصی از سختافزار نخواهد بود.
براین اساس برآوردها نشان میدهد که در فروشگاه اپلیکیشن های اندروید، از ۲۳۵ مجوز انحصاری جمعآوریشده در این تحلیل، ۱۶۵ نوع از آنها به برنامه کاربردی اجازه میدهند تا با اجزای سختافزاری یک دستگاه تعامل داشته باشند و سختافزار دستگاه را تحت کنترل قرار میدهند و به برنامه اجازه دسترسی دیگری از جمله اطلاعات کاربر را نخواهد داد.
بهعنوانمثال دو نمونه از عمومیترین مجوزها به اپلیکیشن اجازه اتصال به اینترنت را میدهند. مجوز «دسترسی کامل به شبکه» (که توسط ۸۳درصد برنامههای کاربردی مورداستفاده قرار میگیرند) به اپلیکیشن این اجازه را میدهد تا با هر شبکهای که دستگاه به آن متصل است ارتباط برقرار کند.
درحالیکه مجوز «مشاهده ارتباطات شبکه» (که توسط ۶۹درصد برنامههای کاربردی مورداستفاده قرار میگیرند) به اپلیکیشن این اجازه را میدهد تا هر شبکهای را که دستگاه به آن دسترسی دارد ببیند.
باید توجه داشت که هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، بهمنظور افزایش قابلیتهای خود ممکن است به هردو مجوز «اطلاعات کاربر» و «مجوز سختافزار» نیاز داشته باشد. درحالیکه این دو مجوز بهشدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به اپلیکیشن نمیدهند.